Пост @moskrylova — Информационная безопасность

28 мая в 10:313K

Информационная безопасность * Восстановление данных * Подготовка технической документации *

Почему красивые планы и слайды по устойчивости и восстановлению больше не работают?

Хочу поднять тему операционной устойчивости (Operation Resilience) и отметить некоторые изменения, которые вижу. Как ИТ Директор, я изучаю свежие отчеты по непрерывности бизнеса (BCP) и восстановлению после сбоев (DRP). Вижу главный тренд этого года. Эпоха красивых регламентов и концепций закончилась. Началась эпоха жесткой практики и экономии.

Ранее компании инвестировали в нарядный консалтинг и презентации, создание индивидуальных фреймворков, соответствие регуляторам (вроде DORA) и красивые слайды. Сейчас фокус сместился и вопрос уже не в том «Есть ли у нас план?», а в том «Сработает ли он при реальном сбое?». Что изменилось и почему это важно для любого бизнеса прямо сейчас?

Отмечу четыре причины, которые близки мне и связаны с моим опытом.

Первое. Уровень оптимизма снизился и меня это радует. Бизнес осознал реальную сложность процессов BCP и DRP. Также пришло понимание, что это не только задача ИТ. Внедрить устойчивость в культуру компании и в ежедневные процессы гораздо сложнее, чем просто подписать регламент у CЕО.

Второе. Риски вышли за пределы вашей компании. Устойчивость бизнеса теперь зависит не только от вашей ИТ инфраструктуры и программных решений. Важные уязвимости сегодня это сторонние поставщики услуг (не только ИТ) и сложные цепочки поставок. Если падает ваш критический подрядчик, то автоматически падаете и вы. Управлять уже нужно всей экосистемой.

Третье. Тяжелое наследие. Устаревшая ИТ инфраструктура и ИТ системы, дефицит квалифицированных кадров, сложность и дороговизна привлечения новых людей, тяжелая система корпоративного управления. Это мешает бизнесу быстро реагировать на изменения и кризисы.

Четвертое. Переход к здравому смыслу. Компании перестают делать и заказывать BCP и DRP для галочки перед регуляторами или советом директоров. Операционная устойчивость стала элементом хорошего тона в бизнесе и залогом долгосрочной выживаемости.

Что можно сделать чтобы начать? Сместить фокус со слайдов и толстых регламентов на реальные рабочие процедуры. Проводить постоянные тесты и менять все при необходимости. Например мы пересматриваем все эти документы уже раз в 4-5 месяцев. Подход такой. Чтобы трансформировать планы в реальную защиту фокусируемся на изменения в культуре, где устойчивость становится задачей каждого владельца процесса, а не только ИТ. Плюс устанавливаем измеряемый и жесткий контроль за рисками подрядчиков.

Способность защитить критические сервисы это ваше конкурентное преимущество и защита активов. Это важно акционерам и клиентам. Вы станете более привлекательны для них, если так будете делать.

Как у вас обстоят дела с тестированием планов непрерывности? Проверяли ли вы их в условиях, максимально приближенных к реалиям? Поделитесь пожалуйста в комментариях.

-1